Измучился с пробросом портов
-
В NAT port-forward Dest.port поставте 3389. Если Вы подключаетесь из Windows "Подключение к удаленному рабочему столу" то заработает.
-
С 2000 - портом тоже все работает. В "Подключение к удаленному рабочему столу" В параметрах входа – Компьютер -- ip.address:portПроверил на своей сети работает.</ip.address:port>
-
Настройка как на Ваших скринах в начале топика, только без сквида и правило 8088 с Dest.addr – WAN address.
P.S. И 8088 с такими настройками работает. И на LAN оставте только разрешающее правило (а 2 нижних уберите)
-
Все товарищи, всем спасибо. Помог 3SV!!!Низкий поклон. Все решилось с помощью алиасов!Если кому надо могу выбросить скрины настроек
-
Все товарищи, всем спасибо. Помог 3SV!!!Низкий поклон. Все решилось с помощью алиасов!Если кому надо могу выбросить скрины настроек
выброси скрины настроек
-
Бросил тебе в личку, форум глюкает что то, не могу прикрепить файлы
-
Просьба тоже скинуть в личку. Вопрос, ты на серваке что указал шлюзом? У тебя сервак ходит мимо Squida?
-
Доброго времени суток. Вот действительно измучился с пробросом портов.
Задача такова, надо открыть порт для работы приложения. Настроенные ранее порты работают как часы.
https://cloud.mail.ru/public/5d9e8d6cf096/tab1.png
причём 5555 порт выполняет туже задачу, только на другом сервере.
Проблема возникает с 8888. Правило создавал и полностью новое, и на базе существующего.
Итог порт открылся, потом через пару дней опять закрыт.
Вот настройка NAT
https://cloud.mail.ru/public/c7710f85df6b/tab2.png
и Rules
https://cloud.mail.ru/public/5b68c48f7709/tab3.png
а это все по Rules
https://cloud.mail.ru/public/2237c44f4949/tab4.png
Подскажите, в каком направлении копать -
Что за ОС на проблемной машине? Telnet на 8888 внутри сети проходит? У 192.168.0.8 шлюзом pfsense указан ? Есть ли фаервол (особенно всякие там комплексные Internet Security) на нем ? Если есть - временно выключить (и родной от MS тоже)
-
Что за ОС на проблемной машине?
Win 2003
Telnet на 8888 внутри сети проходит?
Нет! и nmap его не видит
У 192.168.0.8 шлюзом pfsense указан ?
Да.
Есть ли фаервол (особенно всякие там комплексные Internet Security) на нем ?
Нету. Мауэр отключен.
На скрине не вошло, но на этом серваке открыт порт RDP и прекрасно летает.
На сколько я понимаю у меня проблема не с PFS, а с серваком.
Блин, засада. Не понимаю, почему не слушается порт. -
На сколько я понимаю у меня проблема не с PFS, а с серваком.
Блин, засада. Не понимаю, почему не слушается порт.Первым делом всегда проверяйте доступность порта внутри сети!
По остальным вопросам обращайтесь на профильный форум своего (проблемного) ПО.
-
В сети есть машина 192.168.0.101 которая показывает web-морду через 80 порт, необходимо подключаться к этой web-морде через нестандартный порт - 555 извне. Шлюз организован на pfsense. Внутри сети все прекрасно работает. Проброс NAT такой:
Interface - WAN
Protocol - TCP
Source Adress - *
Source Ports - *
Dest. Adress - WAN adress
Dest. Ports - 555
NAT IP - 192.168.0.101
NAT Ports - 80 (HTTP)
Другие программы (Radmin, RDP) проброшены по такому же принципу и работают без проблем.Если в вышеуказанном правиле "Dest. Adress" прописать порт - 80 (HTTP), все начинает работать. В браузере соответственно уже не указываем "внешний_IP:555", просто "внешний_IP".
В чем может быть такая странная проблема?P.S. В браузере при проверке заходил из другой сети (другой провайдер).
-
У меня работает подобная комбинация.
WAN TCP * * * 1111 192.168.0.215 80 (HTTP)
Попробуйте
Вместо
Destination= WAN address
использовать
Destination= ANY -
Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.
-
Отключите файрволл на 192.168.0.101
Подымите на 192.168.0.101 еще какую-нибудь службу, если это Виндовс - включите тот же RDP и попробуйте аналогичное на нем, например - WAN:33398->192.168.0.101:3389 -
Файрвол на 192.168.0.101 выключен, другие службы включая RDP (порт 3389) пробрасываются без проблем. То есть набрав к примеру 89.178.14.21:3555 я подключаюсь по RDP на 192.168.0.101
-
Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.
А нету ли на pfsense squid'a в прозрачном режиме?
-
Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.
А нету ли на pfsense squid'a в прозрачном режиме?
Да, явно что-то мешает.
Попутно вопрос. Port forward активно и давно использую. И с мультиваном и без. И ни разу не использовал поле
Destination= WAN address (по умолчанию там ANY)
И все всегда работает. Что я делаю не так? -
А нету ли на pfsense squid'a в прозрачном режиме?
Стоял - полностью удалил и перезагрузил pfsense. Не помогло
Может быть в system \ advanced где-то галочка не там стоит? Сейчас стоят на:
Enable webConfigurator login autocomplete
Disable HTTP_REFERER enforcement check
Enable Secure Shell -
А что насчет WebGUI redirect?
У меня эта галка не отмечена.Включите лог для этого правила на WAN.
-
WebGUI redirect у меня тоже не отмечена. А где включается лог для этого правила на WAN? И как потом увидеть результат?
-
WebGUI redirect у меня тоже не отмечена. А где включается лог для этого правила на WAN? И как потом увидеть результат?
При создании порт форвард создается правило на WAN, обычно начинается со слова NAT. В нем есть пункт Log packets that are handled by this rule.
Смотреть - Status - System Logs - Firewall -
А что там смотреть "Источник" и "Назначение", больше ничего. Не понятно, почему все остальные порты пробрасываются а именно 80 блочится?
-
Попробовал сделать проброс 80 порта на системе Monowall (аналог pfsense), там все сразу заработало без проблем. Так что вывод очевиден - в pfsense где-то стоит секретная галочка.
-
А если использовать не 555, а 5555, например?
И сбросить states\перегрузить pf? -
ВЕБ морда pfsense на HTTP или на HTTPS ?
-
на HTTPS (443 порт), пробовал даже на 10000 порт ее переводил - не помогло.
В NAT переделал правило на 5555 порт, перезагрузил - не помогло.
Кстати, когда заходишь через браузер извне, после IP адреса прописывается xx.xx.xx.xx/index.x?theme=800x480 , то есть он нащупывает web интерфейс и тут же блочит. Просто когда заходишь на устройство из локальной сети в адресной строке присутствует этот же фрагмент среди всего остального. -
после IP адреса прописывается xx.xx.xx.xx/index.x?theme=800x480 , то есть он нащупывает web интерфейс и тут же блочит. Просто когда заходишь на устройство из локальной сети в адресной строке присутствует этот же фрагмент среди всего остального.
Ничего из вышеописанного не наблюдаю
-
Отображения в адресной строке могут отличаться. т.к. у нас разные устройства. Тут просто интересен сам факт, что устройство как бы "прощупывается" извне и тут же блочится.
-
пробуй ВЕБ перевести на HTTP, и порт задай например 180
(как я думаю это освободит 80 порт -
Перенес WEB на HTTP и указал 180 порт, зашел на 192.168.0.1:180, перезагрузил pfsense - не помогло.
-
А не может ли быть дело в настройках собственно web-сервера на целевой машине?
Остановите его, установите простенький HFS
http://www.rejetto.com/hfs/
и попробуйте с ним. -
Нет, WEB сервер тут не при чем. Во-первых из внутренней сети я на него захожу, во-вторых пробовал делать аналогичный проброс на WI-FI точку, которая изнутри тоже видна, результат нулевой.
Мне кажется разработчики pfsense в целях безопасности где-то заблочили возможность удаленного подключения на 80 порт, даже если это форвардинг. Сейчас много девайсов имеют web морду и эти устройства можно опознать даже через нестандартный порт. -
Нет.
У меня работает бизнес-приложение по 80-му порту для избранных IP и общедоступное с внешним портом, отличным от 80-го.
Вы невнимательны. Цитирую себя:
У меня работает подобная комбинация.
WAN TCP * * * 1111 192.168.0.215 80 (HTTP)
У меня, правда, 2.3.2_1 -
Так у меня по аналогии с Вами сделано, только адреса отличаются:
WAN TCP * * * 555 192.168.0.101 80 (HTTP) -
Доброе.
Логи проблемного веб-сервера посмотрите. -
Дело не в веб сервере, а в самом pfsense. Пробовал ставить monowall (аналог pfsense) там все пробрасывается без проблем. На pfsense делал проброс на разные устройства: роутер, принтер и т.д., проблема сохранилась. Мог бы остаться на monowall, но у pfsense больше возможностей в плане мониторинга трафика.
-
Доброе.
Скрины. -
Скрины чего именно?